網(wǎng)上很多地方都能下載到這些木馬程序，但是大部門大馬都會(huì)自帶有后門，也就是當(dāng)你上傳木馬到別人的服務(wù)器上的時(shí)候，該大馬的制作者同樣會(huì)通過后門獲得服務(wù)器的權(quán)限。今天就來分析一波該大馬中的后門。

PHP大馬，用php寫的木馬文件，一般自帶提權(quán)，操作數(shù)據(jù)庫，反彈shell，文件下載，端口掃描等功能。

 下面開始分析大馬文件

1. 打開下載的php大馬，可以看出該大馬是經(jīng)過加密了的。

2. 解密一下，如下圖步驟

3. 解密出來的代碼，代碼太長(zhǎng)就不全部貼出來了。

可以看到框框的內(nèi)容應(yīng)該就是木馬中的后門地址了，但是也是經(jīng)過加密的。猜測(cè)應(yīng)該是從遠(yuǎn)程服務(wù)器訪問到這個(gè)代碼。

4. 繼續(xù)解密框框中的加密代碼，先解密第一段中的URL。

解密出來的結(jié)果如下圖

再繼續(xù)解密第二段

解密出來的結(jié)果如下圖，這是個(gè)混淆，先不管，訪問下第一個(gè)解密出來的鏈接。

5. 訪問是張gif圖片，看不出什么內(nèi)容。

把它下載下來，再打開。頭疼，又是一大段加密內(nèi)容。

6. 這里只能用解密的腳本來解密。

解密過后的代碼如下圖?？梢钥吹皆趫D中標(biāo)注的框框出應(yīng)該就是制作者定義的變量postpass指向某個(gè)鏈接了。

api接口代碼

再繼續(xù)解密這個(gè)api接口地址。

解密結(jié)果如下圖

該地址訪問不了，做了限制，應(yīng)該就是制作者的箱子地址了。

7. 從代碼分析來看，

當(dāng)用這個(gè)php大馬拿到webshell的時(shí)候，制作該木馬的作者就會(huì)通過上面的地址訪問你getshell的服務(wù)器，然后就變成別人的肉雞了。所以建議用大馬的時(shí)候，別用網(wǎng)上公布的那種，最好自己寫。

本文鏈接：http://www.cscec4b3.com.cn/article/675.html